ACL-Cleaner
Verwaiste/ tote SIDs aus Fileserver-ACLs entfernen
Die Administration von Berechtigungen hat inzwischen eine erhebliche Komplexität erreicht. Schnell schleichen sich dabei Fehler ein. Ein Fehler, der allerdings erst später zu Konsequenzen führt, ist die direkte Vergabe von Rechten an User oder Nutzergruppen aus dem AD. Wenn man diese User oder Gruppen aus dem Active Directory löscht, ohne vorher die Einträge aus den ACLs zu entfernen, bleiben in den ACLs unauflösbare (verwaiste) SIDs zurück. Genau so verhält es sich auch mit den Owner-SIDs. Die Menge dieser Einträge kann schnell auf einige tausend anwachsen.
Dafür gibt es jetzt den „ACL-Cleaner“, der sauber alle verwaisten Einträge aus den ACLs entfernt.
Ihre Vorteile:
einfachstes Entfernen aller verwaisten SIDs aus ACL und Owner
keine aufwendigen Skripte notwendig
sicherer, transparenter Ablauf
Unterstützung für verschiedene Fileserversysteme
Ausführliche Informationen
Wieviel kostet der ACL-Cleaner?
Anzahl Fileserver | Nettopreis in Euro pro Fileserver |
1 – 9 | 2000,00 € |
10 – 29 | 1500,00 € |
30 + | auf Anfrage |
Wie wird lizenziert?
Der ACL-Cleaner wird pro Fileserver, der zu bereinigen ist, lizenziert.
Wie erfolgt die Kaufabwicklung?
Wenn Sie sich für den ACL-Cleaner interessieren, ist folgendes Vorgehen üblich:
- Sie fordern ein Angebot für die benötigte Anzahl von Fileservern über das Angebotsformular oder persönlich an.
- Sie schicken/faxen uns einen Auftrag auf Geschäftspapier. Auf diesem Auftrag müssen die Namen der Server enthalten sein, auf denen der ACL-Cleaner eingesetzt werden soll.
- Wir erstellen ein Lizenzfile für den ACL-Cleaner, das die angegebenen Server enthält und schicken Ihnen einen Downloadlink für die aktuellste Version des ACL-Cleaners.
- Die Abrechnung erfolgt für Unternehmen und öffentliche Einrichtungen auf Rechnung mit zehntägigem Zahlungsziel. Kreditkartenzahlungen sind nicht möglich.
Wie arbeitet der ACL-Cleaner?
Die Engine des ACL-Cleaners arbeitet ganz gezielt die ACLs ab, die verwaiste SIDs enthalten. Dieses gezielte Säubern erfolgt auf der Grundlage von vorherigen Scans. Diese Scans (Vorlagen) können entweder vom ACL-Cleaner selber durchgeführt oder durch andere Applikationen geliefert werden. Eine Applikation, die das momentan liefern kann, ist 8MAN.
Die Analyse und die Bereinigung erfolgt auf Basis von Shares.
ACL-Cleaner für 8MAN
Alle Unternehmen, die 8MAN einsetzen, haben den Vorteil, dass 8MAN eine Funktion besitzt, die alle verwaisten/toten SIDs sichtbar macht. Diese können in einem CSV-Report aus 8MAN exportiert werden. Der “ACL-Cleaner” von aikux.com ist ein neues Tool, das in der Lage ist, die identifizierten ACLs zu bereinigen. Dazu wird der Export an den ACL-Cleaner übergeben, der nun der Reihe nach alle ACLs bereinigt. Nach dem nächsten Scan von 8MAN sollten dann im Report für verwaiste/tote SIDs keine Einträge mehr zu finden sein. Der “ACL-Cleaner” von aikux.com kann Ihnen viele Stunden Arbeit und auch ein aufwendiges Skripting ersparen.
Systemanforderungen für den ACL-Cleaner
Serverseitig
- Microsoft Fileserver ab 2003, NetApp Filer, EMC(weitere CIFs basierende Systeme)
Clientseitig (Ort der Installation des ACL-Cleaners):
- .net Framework 3.5 SP1 Vollinstallation
- Windows Server 2003 SP2 oder höher
- Windows XP SP3 oder höher
- RAM: 2 GB
- CPU: Aktueller Prozessor (min. 1 Kern)
Technische Details zum ACL Cleaner: http://help.migraven.com/acl-cleaner/
Wie entstehen verwaiste/tote SIDs?
Für die Steuerung der Zugriffsberechtigungen auf Fileserverressourcen empfiehlt sich die Nutzung von Domänen-Gruppen und Domänen-Accounts. Diese kann man direkt in die ACL der Verzeichnisse des Fileservers eintragen. Ein Domänen-Account oder eine Domänen-Gruppe besteht aus einer eineindeutigen Security-ID. Da diese SID für uns Menschen allerdings schlecht zu verwalten ist, gibt man dem Account auch noch einen Namen. Windows arbeitet intern mit der SID – wir arbeiten mit dem Namen. Wenn man jetzt einem User oder einer Gruppe eine Berechtigung zuweisen möchte, dann suchen wir uns den entsprechenden Account aus und weisen diesem auf dem Fileserver die Berechtigungen zu. Im System passiert jetzt noch etwas anderes: Auf Systemebene wird in der ACL nicht der Name vermerkt sondern die SID.
Wenn nun ein Account aus dem Active Directory gelöscht wird, ohne das vorher der Eintrag aus der ACL entfernt wurde, kann diese SID bei der nächsten Betrachtung der Sicherheitseinstellungen nicht mehr aufgelöst werden. Es steht kein Objekt im AD mit ihr in Referenz. Also kann und sollte dieser Eintrag auch entfernt werden.
Warum sollten verwaiste SIDs entfernt werden?
Ganz einfach: Einerseits vermeidet man Performanzverluste, eine bösartige Manipulation der SID-History mit der Möglichkeit zur unkontrollierten Rechtevererbung kann ausgeschlossen werden und last but not least freut es den Auditor, wenn auch dort Ordnung herrscht.
Ich möchte mehr erfahren!
Haben Sie bereits Ihre verwaisten SIDs mit dem ACL-Cleaner entfernt? Dann freuen wir uns, wenn Sie Ihre Erfahrung über die Kommentar-Funktion teilen. Positives Feedback ist dabei ebenso willkommen wie Kritik und Verbesserungsvorschläge.
Mit freundlichen Grüßen, Ihr aikux.com Team